Microsoft使管理员账号更安全的方法

开篇：润墨网以专业的文秘视角，为您筛选了一篇Microsoft使管理员账号更安全的方法范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

安全保障是一段长期的历程

microsoft已经迈出了帮助消费者和公司进行自我保护的第一步

Microsoft的举措之一是使管理员账号尽可能安全,这是对组织的网络资产提供全面保护不可或缺的

Microsoft公司视消费者的安全问题为公司的头等大事。Microsoft公司致力于整合软件、服务和最佳实践来保护消费者的系统。得益于稳固的系统，消费者尽可放心享受科技与因特网所带来的最大效益。Microsoft公司在安全与网络安全领域所作的贡献主要集中于以下三个方面：1）技术投资：提高其产品的安全性，改进升级流程，并提供加强安全保障的新特性与产品；2）产业合作：与合作伙伴，消费者，政府和法律实施合作，为发展打击计算机犯罪的相关政策和行动提供支持；3）说明性指导与教育：广泛传播即时信息来帮助消费者提高他们的系统安全性，并且作好防范新威胁的准备。Microsoft公司深知进行安全保障是一段长期的历程，同时已经迈出了帮助消费者和公司进行自我保护的第一步，尝试了诸多全新安全创新，包括Windows XP Service Pack 2，Windows Server Service Pack 1，产品质量改进与升级预告，普遍适用的安全规范，与消费者、合作伙伴和政府间的协作，等等。

使管理员账号尽可能安全是对组织的网络资产提供全面保护不可或缺的。您需要保护管理员可能使用的每台计算机，包括域控制器、服务器以及他们使用的任何工作站。组织的 IT 组应该尽可能安全地维护域控制器和证书颁发机构服务器，因为这些均被视为非常值得信赖的资产。 您还必须将管理员的台式和移动计算机作为受信任资产进行保护，因为管理员使用它们来远程管理林、域和基础结构。

日常不以管理员身份登录

如果您定期以管理员身份登录计算机从而执行基于常用应用程序的任务，则您的计算机容易遭受恶意软件攻击以及其他安全威胁，因为恶意软件将使用您登录时使用的相同特权运行。如果访问 Internet 站点或打开电子邮件附件，则可以损坏计算机，因为可能在您的计算机上部署将下载并执行的恶意代码。

管理账号和组概述

许多管理用户账号和组的凭据可以用于登录计算机或域。 Active Directory 域中的管理账号包括：

Administrator 账号，它是在域的第一个域控制器上安装 Active Directory 时创建的。 这是该域中权限最高的账号。

后来创建的、并直接分配了管理特权或放置到具有管理特权的组的账号。

使用 EFS 数据恢复证书、注册证书或密钥恢复证书的账号。使用这些证书的账号是非常强大的账号，也应该受到保护。

Active Directory 域中管理组的数目会有所不同，用于 Active Directory 的管理的组包括：

已经存在于“Builtin”容器中的管理组，例如Account Operators 和 Server Operators。注意，“Builtin”容器中的组不能被移到其他位置。

已经存在于“Users”容器中的管理组，例如Domain Admins 和 Group Policy Creator Owners。

后来创建的、并放置到具有管理特权的组中或直接分配了管理特权的组。

域环境中的默认管理组和账号是：

Enterprise Admins（仅存在于林根域中）

Domain Admins（存在于所有域中）

Schema Admins（仅存在于林根域中）

Group Policy Creator Owners（仅存在于林根域中）

管理员组

管理员组账号

DS Restore Mode Administrator（仅在“目录服务还原模式”时可用）

管理员账号类型

本质上说，存在三类登录到计算机或域的管理员账号。每一类别均有独特的能力和特权。

本地管理员账号，包括首次在计算机上安装 Windows Server 2003 时所创建的内置 Administrator 账号，任何其他后续创建和添加到内置本地 Administrators 组的用户账号。此组的成员对本地计算机拥有完全的、无限制的访问权限。

域管理员账号，包括首次安装 Active Directory 时 Active Directory 所创建和使用的内置域 Administrator 账号，任何其他后续创建和添加到内置本地 Administrators 组或 Domain Admins 组的用户账号。 这些组的成员对域有完全的、无限制的访问权限。

林管理员账号，包括在林中创建的第一个域（称为林根域）中的内置域 Administrator 账号，任何其他后续创建和添加到 Enterprise Admins 组的用户账号。Enterprise Admins 组的成员对整个林拥有完全的、无限制的访问权限。

使管理员账号更安全的 原则

当规划如何使管理账号更安全时，您应该采用最小特权原则，并遵循使管理员账号更安全的最佳做法指导原则。

最小特权原则

大多数与安全相关的培训课程和文档讨论最小特权原则的实施，然而组织却很少遵循。该原则非常简单，正确地运用它会大大增加安全性和降低风险。该原则规定，所有用户应该使用仅具有完成当前任务所需的绝对最小权限的用户账号登录。 这样做可以对抗其他攻击中的恶意代码。 此原则适用于计算机和那些计算机的用户。您应该借鉴最小特权的概念向所有域管理员用户授予域特权。

使管理账号更安全的最佳做法

Microsoft公司提供了及时，高质量，易于理解的安全规范、培训和工具，来方便消费者维护一个更加安全的系统环境。为更安全地使用 Windows Server 2003 中的管理账号而应遵循的最佳做法指导原则包括：

区分域管理员和企业管理员角色。

区分用户账号和管理员账号。

使用 Secondary Logon 服务。

运行单独的“Terminal Services”会话进行管理。

重命名默认管理员账号。

创建虚假管理员账号。

创建次要管理员账号并禁用内置管理员账号。

为远程管理员登录启用账号锁定。

创建强管理员密码。

自动扫描弱密码。

仅在受信任计算机上使用管理凭据。

定期审核账号和密码。

禁止账号委派。

控制管理登录过程。

欲了解更多信息, 请浏览微软TechNet中文网络广播: /china/technet。